CN101141305A - 网络安全防御系统、方法和安全管理服务器 - Google Patents
网络安全防御系统、方法和安全管理服务器 Download PDFInfo
- Publication number
- CN101141305A CN101141305A CNA2007101631256A CN200710163125A CN101141305A CN 101141305 A CN101141305 A CN 101141305A CN A2007101631256 A CNA2007101631256 A CN A2007101631256A CN 200710163125 A CN200710163125 A CN 200710163125A CN 101141305 A CN101141305 A CN 101141305A
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- network
- server
- defence
- assault
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及数据通信网络安全技术,尤其提供一种网络安全防御系统、方法和安全管理服务器,用于对攻击网络内服务器的终端设备进行主动防御。网络安全防御系统包括:安全认证客户端、安全接入交换机、认证计费服务器、网络攻击监测设备和安全管理服务器。本发明实施例提供的网络安全防御机制,可以确定发起网络攻击的终端设备并对其主动进行防御,有效防止了网络攻击事件的继续扩散蔓延。
Description
技术领域
本发明涉及数据通信网络安全技术,尤其涉及一种网络安全防御技术。
背景技术
随着网络技术的不断进步,网络入侵活动也在不断发展并日趋活跃。在各种网络入侵活动中,针对服务器、特别是关键服务器的网络攻击可以说是最具威胁性、可能造成最大损失的行为。关键服务器是指网络中存储着重要信息的服务器,大量的重要信息作为一种无形资产存储在关键服务器上,一旦其受到了网络安全威胁势必殃及存储的重要信息,从而造成不可估量的损失。更加致命的是这些网络入侵活动不仅仅来自于外部的黑客,而且很多来自于内部人员。
目前各种企业及单位对关键服务器主要采用以下几种网络安全防御机制,包括:杀毒软件、防火墙、入侵监测系统(Intrusion Detection System,IDS)、访问权限的控制列表(Access Control List,ACL)等,ACL使用包过滤技术,在路由器或交换机上设置指令列表,通过读取报文头中的信息,如源地址、目的地址、源端口、目的端口等,根据设置的指令列表对数据包进行过滤,从而达到访问权限的控制的目的。
现有网络安全防御机制中对服务器的安全防御机制是零散的,网络管理员在各种网络安全防御设备上发现的网络攻击事件都是独立的,无法进行统一管理和技术统计;
现有网络安全防御机制中对服务器的安全防御机制是被动,当出现网络攻击后,只能进行被动拦截,当网络管理员发现网络攻击后,无法进行网络攻击源的定位、更无法对发起攻击的终端设备进行防御控制,导致网络安全问题的肆意扩散;
采用现有网络安全防御机制时,当网络管理员对网络攻击行为进行处理后,无法进行识别记录,下一次出现同样的网络攻击行为,依然需要再次进行手动处理;并且无法根据网络攻击信息自动设置ACL,由网络管理员进行手动设置ACL的工作量巨大。
发明内容
本发明提供一种网络安全防御系统、方法和安全管理服务器,用于对攻击网络中服务器的终端设备进行主动防御。
一种网络安全防御系统,包括:
安全认证客户端和安全接入交换机,所述安全认证客户端设置在终端设备上,用于在终端设备通过安全接入交换机接入网络时发起接入认证,安全接入交换机在接入认证成功后打开终端设备接入网络的端口;
认证计费服务器:用于根据所述安全认证客户端发起的认证对终端设备进行接入认证,通过所述安全接入交换机向成功认证的终端设备返回认证成功响应,获取成功认证的终端设备网络配置信息并上报;
网络攻击监测设备:用于监测终端设备通过安全接入交换机对服务器发起的网络攻击事件,并上报监测到的网络攻击事件信息,所述网络攻击事件信息包括发起网络攻击的终端设备的IP地址和被攻击服务器的IP地址;
安全管理服务器:接收并存储所述认证计费服务器上报的终端设备的网络配置信息,根据所述网络攻击监测设备上报的网络攻击事件信息中所述终端设备的IP地址,获取所述终端设备的网络配置信息,根据所述网络配置信息将生成的防御控制命令发送给所述终端设备所接入的安全接入交换机,或者通过所述安全接入交换机发送给所述终端设备的安全认证客户端,对所述终端设备进行防御控制。
较佳的,还包括安全解析服务器:用于对所述网络攻击监测设备上报的网络攻击事件信息进行转换后发送给安全管理服务器。
其中,所述安全解析服务器和安全管理服务器可以合并设置。
本发明实施例还提供了安全管理服务器的一种结构,具体包括:
接收单元:用于接收成功认证的终端设备网络配置信息,并接收上报的所述网络攻击事件信息,所述网络攻击事件信息包括发起网络攻击的终端设备的IP地址、被攻击服务器的IP地址;
网络配置信息存储单元:用于存储所述接收单元接收的所述终端设备的网络配置信息;
网络攻击事件处理单元:用于根据所述接收单元接收的网络攻击事件信息中发起网络攻击的终端设备的IP地址,从网络配置信息存储单元中获取所述终端设备的网络配置信息,生成防御控制命令并发送给所述终端设备的安全认证客户端或者所接入的安全接入交换机,对所述终端设备进行防御控制。
所述安全管理服务器进一步还包括:
关键服务器IP地址存储单元,用于存储关键服务器的IP地址,根据网络攻击事件信息中被攻击服务器的IP地址,所述网络攻击事件处理单元确认在所述关键服务器IP地址存储单元中存储了被攻击服务器的IP地址后,对发起网络攻击的终端设备进行防御控制。
所述安全管理服务器进一步还包括:
防御策略存储单元:用于存储分别为各关键服务器对应配置的网络攻击防御策略,所述网络攻击事件处理单元根据被网络攻击的关键服务器对应配置的网络攻击防御策略,生成所述防御控制命令。
所述安全管理服务器进一步还包括:
日志生成单元,用于根据所述网络配置信息存储单元存储的终端设备的网络配置信息和网络攻击事件处理单元对网络攻击的防御处理,生成网络攻击防御日志。
其中,所述网络攻击事件处理单元至少包括:
下线控制子单元,用于生成强制终端设备下线的第一防御控制命令,并通过所述安全接入交换机发送给发起网络攻击的终端设备的安全客户端,所述安全客户端根据所述防御控制命令控制终端设备下线;
警告控制子单元,用于生成警告终端设备的第二防御控制命令,并通过所述安全接入交换机发送给发起网络攻击的终端设备的安全客户端,所述安全客户端根据所述防御控制命令发出禁止网络攻击的警告;或者
访问权限的控制子单元,用于生成包含访问权限的控制列表的第三防御控制命令,并发送给所述安全接入交换机,所述安全接入交换机根据所述访问权限的控制列表对发起网络攻击的终端设备所接入的端口进行访问权限的控制。
本发明实施例还提供了一种网络安全防御方法,包括:
设置了安全认证客户端的终端设备上通过安全接入交换机向认证计费服务器进行接入网络的认证,认证计费服务器向安全管理服务器上报成功认证的终端设备网络配置信息;
当发生网络攻击事件时,安全管理服务器获取网络攻击事件信息,所述网络攻击事件信息包括发起网络攻击的终端设备的IP地址、被攻击服务器的IP地址;
根据所述网络攻击事件信息中所述终端设备的IP地址获取所述终端设备的网络配置信息,根据所述网络配置信息将生成的防御控制命令发送给所述终端设备的所接入的安全接入交换机,或者通过所述安全接入交换机发送给所述终端设备安全认证客户端,对所述终端设备进行防御控制。
较佳的,根据预先为所述关键服务器配置的防御策略生成所述防御控制命令。
其中,根据所述网络配置信息将生成的防御控制命令发送给所述终端设备所接入的安全接入交换机,或者通过所述安全接入交换机发送给所述终端设备的安全认证客户端,对所述终端设备进行防御控制具体包括:
根据所述网络配置信息将生成的第一防御控制命令发送给所述安全认证客户端,所述安全认证客户端根据所述第一防御控制命令强制所述终端设备下线;
根据所述网络配置信息将生成的第二防御控制命令发送给所述安全认证客户端,所述安全认证客户端根据所述第二防御控制命令向所述终端设备发出禁止网络攻击的警告;和/或
根据所述网络配置信息将生成的第三防御控制命令发送给所述安全接入交换机,所述安全接入交换机根据所述访问权限的控制列表对所述终端设备所接入的端口进行访问权限的控制。
进一步,还包括:
根据所述终端设备的网络配置信息和所述防御控制命令生成防御处理结果;
根据所述防御处理结果生成网络攻击防御日志。
本发明实施例提供的网络安全防御机制,可以确定发起网络攻击的终端设备并对其主动进行防御,有效防止了网络攻击事件的继续扩散蔓延。
附图说明
图1为本发明实施例提供的网络安全防御系统网络拓扑结构示意图;
图2为本发明实施例提供的终端设备的认证流程示意图;
图3为本发明实施例提供的网络安全防御方法流程示意图;
图4为本发明实施例提供的安全管理服务器主要结构示意图。
具体实施方式
本发明实施例提供了一种在网络中对服务器进行安全防御的方法及系统,以解决现有技术中网络安全防御机制所存在的缺陷,主要用于对关键服务器进行主动、高效的网络安全防御。
本发明实施例通过各安全组件的联动和交互,实现对服务器、特别是关键服务器进行网络安全防御的目的,从而有效阻止了恶意用户对服务器进行的网络攻击,主要涉及以下几种安全组件:安全认证客户端(Supplicant)、认证计费管理系统(Security Accounting management System,SAM)、安全接入功能组件、安全管理平台(Security Manager Platform,SMP)、安全事件解析器(Security Event Parser,SEP)、网络攻击监测系统(Net Intrusion DetectionSystem,NIDS),其中:
安全认证客户端Supplicant,部署在终端设备,例如个人计算机(PersonalComputer,PC)上的客户端软件,用户必须使用此客户端软件进行认证后才能接入网络,例如进行802.1x认证;
认证计费管理系统SAM,部署在认证计费服务器上,用来保证用户只有通过Supplicant进行认证后才能接入网络,并且向安全管理平台SMP提供接入网络的终端设备的网络配置信息;
安全接入功能组件,部署在安全接入交换机上,可以根据SMP下发的ACL指令列表,实现对Supplicant上网用户的上网访问权限控制,以及转发SMP对Supplicant的控制命令,比如向用户下发警告消息或强制用户下线等;
网络攻击监测系统NIDS,部署在网络中的一个服务器上,旁路监测交换机端口上的报文,根据报文判断是否发生网络攻击事件,并向SEP反馈网络攻击事件信息;
安全事件解析器SEP,部署在网络中的一个服务器上,主要用来接收NIDS监测到的网络攻击事件信息,并进行协议转换,转换为安全管理平台SMP可认知的报文后上报给SMP;
安全管理平台SMP,部署在安全管理服务器上,通过同安全接入功能、认证计费管理系统、安全认证客户端等组件的交互,实现网络安全管理的各种功能,在本发明实施例中用来从安全事件解析器SEP中得到网络攻击事件信息,对针对关键服务器进行网络攻击的Supplicant上网用户进行防御;
安全事件解析器SEP和安全管理平台SMP可以部署在同一个服务器上。并且如果网络攻击监测系统NIDS和安全管理平台SMP使用同一种通信协议,则网络攻击监测系统NIDS可以直接将网络攻击事件信息发送给安全管理平台SMP,不需要在二者之间部署安全事件解析器SEP。
基于上述各安全组件,本发明实施例首先提供了一种对网络中存储了重要信息的关键服务器进行安全防御的系统,如图1所示,网络安全防御系统的网络拓扑结构包括:关键服务器100和网络攻击监测设备105通过具备一般接入功能的第一交换机1011接入网络,认证计费服务器103、安全解析服务器106和安全管理服务器107通过具备一般接入功能的第二交换机1012接入网络,终端设备102通过安全接入交换机104接入网络,第一交换机1011、第二交换机1012与安全接入交换机104连接实现整个网络系统的互联。安全接入交换机104可以同时为多个终端设备102提供接入网络的服务,关键服务器100、认证计费服务器103、网络攻击监测设备105、安全解析服务器106和安全管理服务器107可以分别或一起通过一个或多个具备一般功能的交换机接入网络,而不限于图1所示的连接方式,一般功能的交换机再与安全接入交换机104连接从而实现整个系统的互联,其中:
终端设备102,终端设备102上设置有安全认证客户端,安全认证客户端在终端设备102接入网络时发起接入认证,并在认证成功后允许终端设备102接入网络;
安全认证客户端根据认证协议规定发起认证,并在通过认证后将终端设备接入网络,接入网络的终端设备102可以称为上网用户;
认证计费服务器103,认证计费服务器103上设置认证计费管理系统SAM,用于响应终端设备102的安全认证客户端发起的接入认证,保证终端设备102只有通过认证后才能接入网络,在认证过程种获取并上报终端设备102的网络配置信息,网络配置信息包括终端设备102的IP地址、MAC地址、上网用户标识、上网用户认证名、接入终端设备的安全接入交换机IP地址以及该安全接入交换机端口地址等信息;
安全接入交换机104,用于转发各服务器和终端设备102之间交互的相关认证信息和控制信息;
安全接入交换机104在一般交换机功能的基础上增加了安全接入功能组件,在本发明中实施例中主要在终端设备与认证计费服务器进行认证的过程中转发认证信息,并根据安全管理服务器107下发的ACL指令列表,实现对Supplicant上网用户的上网访问权限控制,以及转发安全管理服务器107对Supplicant上网用户的防御控制命令;
网络攻击监测设备105,网络攻击监测设备105设置有网络入侵监测系统NIDS,用于对安全接入交换机104进行旁路监测,配置监测安全接入交换机104上所有端口的报文,当检测到发生网络攻击事件时向安全解析服务器106反馈网络攻击事件信息的报文,网络攻击事件信息用于对发起网络攻击终端设备进行有效防御,包括发起网络攻击终端设备的IP地址和被攻击服务器的IP地址;
安全解析服务器106,安全解析服务器106设置有安全事件解析器SEP,用于解析网络攻击监测设备105上报的网络攻击事件信息的报文,转换为安全管理服务器107支持的报文格式后转发给安全管理服务器107;
安全管理服务器107,安全管理服务器107设置安全管理平台SMP,可以统一实现各种防御功能,用于根据网络攻击事件信息对发起网络攻击的终端设备进行防御,防御方法例如:
根据网络攻击事件信息中发起网络攻击终端设备的IP地址从数据库表中查找该终端设备的网络配置信息,获取该终端设备的MAC地址,接入的安全接入交换机的IP地址、端口地址等,生成防御控制命令并通过安全接入交换机发送给终端设备的安全认证客户端,例如下线命令或警告命令等,安全认证客户端根据接收到的防御控制命令,控制终端设备下线或发出警告;
根据网络攻击事件信息中发起网络攻击终端设备的IP地址从数据库表中查找该终端设备的网络配置信息,获取该终端设备的MAC地址,接入的安全接入交换机的IP地址、端口地址等,生成包含ACL控制列表的防御控制命令,并发送给安全接入交换机,命令安全接入交换机对发起网络攻击的终端设备进行访问权限的控制。
可选的,安全管理服务器107上还可以存储指定的关键服务器的IP地址,根据网络攻击事件信息中被攻击服务器的IP地址,安全管理服务器107确认被攻击服务器的IP地址是否为指定的关键服务器的IP地址,如果是则进行防御,否则不进行防御。
可选的,安全管理服务器107上还可以存储针对每一个关键服务器配置的网络攻击防御策略,安全管理服务器107根据被攻击服务器对应的网络攻击防御策略对发起网络攻击终端设备进行防御,例如命令下线、警告或访问权限控制等;
在本发明实施例提供的网络安全防御系统中,可以选择网络中的任意一个服务器作为认证计费服务器103或安全管理服务器107,相应设置认证计费管理系统SAM或安全管理平台SMP后完成对应功能;
在本发明实施例提供的网络安全防御系统中,网络攻击监测设备105为外挂监测设备,对安全接入交换机104进行旁路监测,利用一个网络攻击监测设备105可以同时监测两个或两个以上的交换机;
在本发明实施例提供的网络安全防御系统中,如果网络攻击监测设备105和安全管理服务器107支持同一种通信协议,例如UDP(User DatagramProtocol)协议时,可以不设置安全解析服务器106。反之则需要安全解析服务器106在网络攻击监测设备105和安全管理服务器107之间对网络攻击事件信息的报文进行协议转换,例如将网络攻击监测设备105发送的SNMP(简单网络管理协议)报文转换为安全管理服务器107支持的UDP报文;
在本发明实施例提供的网络安全防御系统中,如果设置有安全解析服务器106,则该安全解析服务器106和安全管理服务器107可以设置在同一个服务器上。
在系统成功搭建的基础上,用户设备首先需要进行接入网络的认证,本发明实施例将以802.1x认证为例进行说明,首先对802.1x认证协议进行简单介绍,802.1x认证协议是一种基于端口的认证协议,最终目的就是确定一个端口是否可用。对于一个端口来说,如果认证成功就打开这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持关闭,即只允许802.1x的认证协议报文通过。
802.1x的体系结构中包括三个部分,即恳请者、认证者和认证服务器三部分,这三个部分分别作用如下:
恳请者,一般设置在终端设备上,设置有安全认证客户端,恳请者用于请求对网络服务的访问,并对认证者的请求报文进行应答,在本发明实施例中对应于终端设备102;
认证者,一般为交换机等接入设备,相当于中介者,在客户端与服务器之间负责把从客户端收到的信息封装为RADIUS(Remote Access Dial-In UserService,远程拨号用户访问认证协议)格式的报文并转发给服务器,同时把从服务器收到的信息解析出来并转发给终端设备的客户端,在本发明实施例中对应于安全接入交换机104;
认证服务器,一般为RADIUS服务器,认证过程中为恳请者提供认证服务,在本发明实施例中对应于认证计费服务器103。
802.1x有多种认证机制,以EAP(Extensible Authentication Protocol可扩展认证协议)-MD5认证为例,详细过程如图2所示,包括:
S201、终端设备通过发送一个EAPoL(EAP Over Lan网络的可扩展认证协议)-Start报文发起认证过程;
S202、安全接入交换机收到EAPoL-Start报文后,发送一个EAP-Request报文响应终端设备的认证请求,EAP-Request报文请求终端设备ID;
S203、终端设备以一个EAP-Response报文响应EAP-Request,将终端设备ID封装在EAP-Response报文中发送给安全接入交换机;
S204、安全接入交换机将终端设备送来的EAP-Request报文与本安全接入交换机的IP和端口信息一起封装在RADIUS Access-Request报文中发送给认证计费服务器;
S205、认证计费服务器收到RADIUS Access-Request报文后,将终端设备ID提取出来在数据库中进行查找,如果找不到该终端设备ID,则直接丢弃该RADIUS Access-Request报文;
如果该终端设备ID存在,认证计费服务器会提取终端设备的密码等信息,用一个随机生成的加密字进行MD5加密,生成密文;同时将这个随机加密字封装在一个EAP-Challenge Request报文中,再将该报文封装在RADIUSAccess-Challenge报文的EAP-Message属性中发给安全接入交换机;
S206、安全接入交换机收到RADIUS Access-Challenge报文后,将封装在该报文中的EAP-Challenge Request报文发送给终端设备;
S207、终端设备用认证计费服务器发来的随机加密字对终端设备的密码等信息进行相同的MD5加密运算生成密文,将密文封装在一个EAP-ChallengeResponse报文中发给安全接入交换机;
S208、安全接入交换机收到EAP-Challenge Response报文后,将其封装在一个RADIUS Access-Request报文的EAP-Message属性中发给认证计费服务器;
S209、认证计费服务器拆开封装,将终端设备发回的密文与S205中本地生成的密文进行比较,如果不一致,则认证失败,认证计费服务器将返回一条RADIUS Access-Reject报文,同时保持端口关闭状态;
如果一致,则认证通过,认证计费服务器将一条EAP-Success报文封装在RADIUS Access-Accept报文的属性中发送给安全接入交换机;
S210、安全接入交换机在接收到认证计费服务器发来的RADIUSAccess-Accept报文之后,将端口状态更改为已授权,同时将RADIUSAccess-Accept报文中的EAP-Success报文发送给终端设备。
在本发明实施例中,认证计费服务器,安全接入交换机和终端设备通过802.1x认证实现终端设备的接入认证。在终端设备通过安全认证客户端Supplicant进行认证的过程中,认证计费服务器的SAM能够获取安全认证客户端所属终端设备的网络配置信息,包括:终端设备的IP地址,MAC地址以及安全接入交换机的IP地址、端口地址等。
本发明实施例可以采用ACL技术,ACL指令是由安全管理服务器的SMP下发给安全接入交换机,安全接入交换机接收的各ACL指令组成的指令列表实现对安全接入交换机下接入的Supplicant上网用户的访问权限的控制。
下面以对关键服务器的防御为例详细说明本发明实施例提供的网络安全防御方法,如图3所示,主要包括步骤:
S301、网络内的终端设备根据网络管理员分配的终端设备ID和密码通过Supplicant进行认证上网;
S302~S303、终端设备通过Supplicant进行认证通过后即为Supplicant上网用户,认证计费服务器中的SAM将记录该Supplicant上网用户的网络配置信息,并将网络配置信息上报安全管理服务器;
S304、安全管理服务器中的SMP会将该网络配置信息记录到数据库表中,Supplicant上网用户的网络配置信息如表1所示,包括用户唯一标识、用户认证名即终端设备的ID、终端设备的MAC地址、终端设备的IP地址、终端设备接入的安全接入交换机的IP地址和端口地址等;
表1.
| 字段 | 属性 | 长度 | NULL | 默认值 | 描述 |
| userIndex | bigint | 8 | 0 | 用户唯一标识 | |
| userID | varchar | 32 | 0 | 用户认证名 | |
| userMac | varchar | 17 | 0 | 终端设备的MAC | |
| userIP | varchar | 15 | 0 | 终端设备的IP | |
| nasIP | varchar | 15 | 0 | 安全接入交换机的IP | |
| nasPort | int | 4 | 0 | 安全接入交换机的端口 |
终端设备可以通过安全接入交换机和认证计费服务器自由上下线,其上下线信息均通过认证计费服务器的SAM通知安全管理服务器的SMP;
S305、网络管理员在安全管理服务器的SMP上配置关键服务器的相关信息,例如IP地址;同时配置如何防御对关键服务器发起网络攻击的Supplicant上网用户,例如网络管理员可以对向此关键服务器发起网络攻击的Supplicant上网用户采取强制该用户下线、向该用户下发警告消息、向该用户所接入的安全接入交换机的端口下发ACL等措施;
SMP将上面配置的关键服务器的相关信息及对关键服务器的网络安全防御策略存储到数据库表中,关键服务器的信息列表如表2所示,包括关键服务器的唯一标识、IP地址、名称、描述以及受到Supplicant上网用户的网络攻击后是否强制该发起网络攻击的终端设备下线、强制下线原因、防御方式等信息;
表2.
| 字段 | 属性 | 长度 | NULL | 默认值 | 描述 |
| importDeviceIndex | bigint | 8 | 0 | 关键服务器唯一标识 | |
| deviceIp | varchar | 16 | 0 | 关键服务器IP地址 | |
| name | varchar | 32 | 1 | 关键服务器名称 | |
| desc | varchar | 256 | 1 | 关键服务器描述 | |
| isForceOffline | smallint | 2 | 0 | 被网络攻击时对发起网络攻击的终端设备的防御方式,是否强制下线 | |
| forceOfflineReason | varchar | 512 | 1 | 强制下线原因 | |
| warnMsg | varchar | 512 | 1 | 防御方式,下发警告消息内容 |
本发明实施例通过安全管理服务器的SMP向安全接入交换机下发ACL指令列表来实现对安全接入交换机下Supplicant上网用户的访问权限的控制,一条ACL模板列表如表3所示,包括允许访问的目的IP地址、IP地址、端口地址,以及允许访问的源端口地址等信息;
表3.
| 字段 | 属性 | 长度 | NULL | 默认值 | 描述 |
| ptIndex | bigint | 8 | 0 | ACL模板索引,PK | |
| ptName | varchar | 128 | 0 | ACL模板名称 | |
| ptDesc | varchar | 255 | 1 | ACL模板描述 | |
| aimMac | varchar | 17 | 1 | 允许访问的目的MAC | |
| aimIP | varchar | 15 | 1 | 允许访问的目的IP | |
| aimPort | Int | 3 | 1 | 允许访问的目的端口 | |
| protocolThree | varchar | 32 | 1 | 允许访问的三层协议名 |
| Name | |||||
| protocolFourName | varchar | 32 | 1 | 允许访问的四层协议名 | |
| protocolCommName | varchar | 32 | 1 | 允许访问的常用协议名 | |
| sourcePort | int | 4 | 1 | 允许访问的源端口 | |
| policyTime | bigint | 8 | 1 | 0 | ACL的有效时间,时间为0表示永远有效 |
| subnetMask | varchar | 15 | 1 | 允许访问的子网掩码 | |
| ac180 | varchar | 160 | 0 | ACL对应的ac180个字节 | |
| ac180Mask | varchar | 160 | 0 | ACL对应的ac180个字节mask | |
| isAutoDel | smallint | 2 | 1 | 用户下线是否自动删除相应的ACL | |
| adminID | varchar | 32 | 0 | 创建该ACL模板的管理员 | |
| createTime | datetime | 8 | 0 | 创建该ACL模板的时间 |
一个关键服务器可以绑定多个ACL模板,关键服务器和ACL模板绑定的ACL模板防御表如表4所示,包括唯一标识、关键服务器的唯一标识和ACL模板索引等信息;
表4.
| 字段 | 属性 | 长度 | NULL | 默认值 | 描述 |
| importDVPTIndex | bigint | 8 | 0 | 惟一标识 | |
| importDeviceIndex | bigint | 8 | 0 | 关键服务器惟一标识 | |
| ptIndex | bigint | 8 | 0 | ACL模板索引 |
ACL模板是SMP定义的一种不和具体认证用户绑定的抽象的ACL信息;一条ACL模板必须和一个认证用户的IP地址和MAC地址进行组合,才能形成一条真正的ACL指令下发给认证用户所接入的安全接入交换机;
S306~S307、网络攻击监测设备通过NIDS进行监测发现网络上有网络攻击事件发生时,将该网络攻击事件信息基于SNMP(简单网络管理协议)协议反馈网络攻击报文给安全解析服务器的SEP;
S308、SEP会对NIDS上报过来的报文进行解析,并封装成SMP可识别的UDP协议格式的网络攻击事件信息上报给安全管理服务器;
S309~S310、安全管理服务器的SMP在接收到这个网络攻击事件信息时,分析该信息的内容,根据发起网络攻击的终端设备的IP地址,从表1中获取这个发起网络攻击的终端设备的网络配置信息;再根据被攻击服务器的IP地址,从表2判断被攻击服务器是否属于关键服务器,若是,则根据预先配置的关键服务器的相关信息以及表2、表3、表4提供的网络安全防御方法对发起网络攻击的终端设备同时也是Supplicant上网用户进行防御,实现对关键服务器的网络安全防御。防御方法包括:
强制该Supplicant上网用户下线,通过向终端设备的安全认证客户端发送第一防御控制命令实现;或者,
通知Supplicant警告上网用户,通过向终端设备的安全认证客户端发送第二防御控制命令实现;或者,
进行ACL控制,通过向该Supplicant上网用户所接入的安全接入交换机的端口下发携带ACL列表的第三防御控制命令实现;
S311、将相应的对Supplicant上网用户的防御情况记录到日志报表中,生成网络攻击防御日志。
可见,当终端设备认证成功并上网后,如果上网用户利用该终端设备向关键服务器发起网络攻击,安全管理服务器将自动确定出这个Supplicant上网用户并对其进行防御,有效防止了对关键服务器的网络攻击。
本发明实施例提供了一种网络安全防御方法,包括:
a、设置了安全认证客户端的终端设备通过安全接入交换机向认证计费服务器进行接入网络的认证,认证计费服务器向安全管理服务器上报成功认证的终端设备网络配置信息;
b、当发生网络攻击事件时,安全管理服务器获取网络攻击事件信息,网络攻击事件信息包括发起网络攻击的终端设备的IP地址、被攻击服务器的IP地址;
c、根据网络攻击事件信息中发起网络攻击的终端设备的IP地址获取该终端设备的网络配置信息,根据该终端设备的网络配置信息将生成的防御控制命令发送给所述终端设备所接入的安全接入交换机,或者通过所述安全接入交换机发送给所述终端设备的安全认证客户端,对该终端设备进行防御控制。
本发明实施例还提供了一种安全管理服务器的具体结构,如图4所示,包括:
接收单元400:用于接收成功认证的终端设备网络配置信息,并接收上报的对服务器的网络攻击事件信息,网络攻击事件信息包括发起网络攻击的终端设备的IP地址、被攻击服务器的IP地址;
网络配置信息存储单元401:用于存储接收单元400接收的成功认证后接入网络的终端设备的网络配置信息;
网络攻击事件处理单元402:用于根据接收单元400接收的网络攻击事件信息中发起网络攻击的终端设备的IP地址,从网络配置信息存储单元401中获取该终端设备的网络配置信息,生成防御控制命令并发送给该终端设备的安全认证客户端或者所接入的安全接入交换机,对该终端设备进行防御控制。
如果针对关键服务器进行安全防御,安全管理服务器还可以包括:
关键服务器IP地址存储单元403,用于存储关键服务器的IP地址,根据网络攻击事件信息中被攻击服务器的IP地址,网络攻击事件处理单元402确认在关键服务器IP地址存储单元中存储了被攻击服务器的IP地址后,生成防御控制命令。
如果针对关键服务器设置不同的安全防御策略,安全管理服务器还包括:
防御策略存储单元404:用于存储分别为各关键服务器对应配置的网络攻击防御策略,网络攻击事件处理单元402根据被网络攻击的关键服务器对应配置的网络攻击防御策略,生成防御控制命令。
如果需要生成网络攻击防御日志,安全管理服务器还包括:
日志生成单元405,用于根据网络配置信息存储单元401存储的终端设备的网络配置信息和网络攻击事件处理单元402对网络攻击的防御处理,生成网络攻击防御日志。
其中,根据不同的防御策略,网络攻击事件处理单元402中可以包括:
下线控制子单元,用于生成强制终端设备下线的第一防御控制命令,并通过安全接入交换机发送给发起网络攻击的终端设备的安全认证客户端,安全认证客户端根据防御控制命令控制终端设备下线;
警告控制子单元,用于生成警告终端设备的第二防御控制命令,并通过安全接入交换机发送给发起网络攻击的终端设备的安全认证客户端,安全认证客户端根据防御控制命令发出禁止网络攻击的警告;或者
访问权限的控制子单元,用于生成包含访问权限的控制列表的第三防御控制命令,并发送给安全接入交换机,安全接入交换机根据访问权限的控制列表对发起网络攻击的终端设备所接入的端口进行访问权限的控制。
本发明实施例提供的网络安全防御机制中对服务器的安全防御机制由安全管理服务器统一执行防御,可以在网络中进行安全防御的统一管理和技术统计,网络管理员可以通过SMP中记录的日志查看网络中针对各服务器、特别是针对关键服务器的网络攻击详细信息;
本发明实施例提供的网络安全防御机制中对服务器的安全防御机制是主动的网络安全防御机制,在网络内如果有发起网络攻击的终端设备对关键服务器发起网络攻击,由于采用了认证机制,只有认证用户才可以接入网络,因此当出现网络攻击后,可以进行网络攻击源的定位、对发起网络攻击的终端设备进行主动的防御控制,有效防止了网络攻击事件继续扩散蔓延;
本发明实施例提供的网络安全防御机制中,网络管理员可以通过SMP简单配置一次ACL模板的基本信息,包括允许访问的IP地址、子网掩码和允许使用的网络协议等信息,并将此基本信息和关键服务器绑定;SMP在防御网络攻击事件时会将此基本信息和发起攻击的终端设备的IP地址、MAC地址等信息合并生成一条ACL指令下发到安全接入交换机上,不需要网络管理员去交换机上手动添加ACL指令,简化了ACL控制的工作量。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (18)
1.一种网络安全防御系统,其特征在于,包括:
安全认证客户端和安全接入交换机,所述安全认证客户端设置在终端设备上,用于在终端设备通过安全接入交换机接入网络时发起接入认证,安全接入交换机在接入认证成功后打开终端设备接入网络的端口;
认证计费服务器:用于根据所述安全认证客户端发起的认证对终端设备进行接入认证,通过所述安全接入交换机向成功认证的终端设备返回认证成功响应,获取成功认证的终端设备网络配置信息并上报;
网络攻击监测设备:用于监测终端设备通过安全接入交换机对服务器发起的网络攻击事件,并上报监测到的网络攻击事件信息,所述网络攻击事件信息包括发起网络攻击的终端设备的IP地址和被攻击服务器的IP地址;
安全管理服务器:接收并存储所述认证计费服务器上报的终端设备的网络配置信息,根据所述网络攻击监测设备上报的网络攻击事件信息中所述终端设备的IP地址,获取所述终端设备的网络配置信息,根据所述网络配置信息将生成的防御控制命令发送给所述终端设备所接入的安全接入交换机,或者通过所述安全接入交换机发送给所述终端设备的安全认证客户端,对所述终端设备进行防御控制。
2.如权利要求1所述的防御系统,其特征在于,还包括:
安全解析服务器:用于对所述网络攻击监测设备上报的网络攻击事件信息进行转换后发送给安全管理服务器。
3.如权利要求2所述的防御系统,其特征在于,所述安全解析服务器和安全管理服务器合并设置。
4.如权利要求1、2或3所述的防御系统,其特征在于,所述安全管理服务器具体包括:
接收单元:用于接收成功认证的终端设备网络配置信息,并接收上报的所述网络攻击事件信息,所述网络攻击事件信息包括发起网络攻击的终端设备的IP地址、被攻击服务器的IP地址;
网络配置信息存储单元:用于存储所述接收单元接收的所述终端设备的网络配置信息;
网络攻击事件处理单元:用于根据所述接收单元接收的网络攻击事件信息中发起网络攻击的终端设备的IP地址,从网络配置信息存储单元中获取所述终端设备的网络配置信息,生成防御控制命令并发送给所述终端设备的安全认证客户端或者所接入的安全接入交换机,对所述终端设备进行防御控制。
5.如权利要求4所述的防御系统,其特征在于,所述安全管理服务器还包括:
关键服务器IP地址存储单元,用于存储关键服务器的IP地址,根据网络攻击事件信息中被攻击服务器的IP地址,所述网络攻击事件处理单元确认在所述关键服务器IP地址存储单元中存储了被攻击服务器的IP地址后,对发起网络攻击的终端设备进行防御控制。
6.如权利要求5所述的防御系统,其特征在于,所述安全管理服务器还包括:
防御策略存储单元:用于存储分别为各关键服务器对应配置的网络攻击防御策略,所述网络攻击事件处理单元根据被网络攻击的关键服务器对应配置的网络攻击防御策略,生成所述防御控制命令。
7.如权利要求4所述的防御系统,其特征在于,所述安全管理服务器还包括:
日志生成单元,用于根据所述网络配置信息存储单元存储的终端设备的网络配置信息和网络攻击事件处理单元对网络攻击的防御处理,生成网络攻击防御日志。
8.如权利要求4所述的防御系统,其特征在于,所述网络攻击事件处理单元至少包括:
下线控制子单元,用于生成强制终端设备下线的第一防御控制命令,并通过所述安全接入交换机发送给发起网络攻击的终端设备的安全客户端,所述安全客户端根据所述防御控制命令控制终端设备下线;
警告控制子单元,用于生成警告终端设备的第二防御控制命令,并通过所述安全接入交换机发送给发起网络攻击的终端设备的安全客户端,所述安全客户端根据所述防御控制命令发出禁止网络攻击的警告;或者
访问权限的控制子单元,用于生成包含访问权限的控制列表的第三防御控制命令,并发送给所述安全接入交换机,所述安全接入交换机根据所述访问权限的控制列表对发起网络攻击的终端设备所接入的端口进行访问权限的控制。
9.一种安全管理服务器,其特征在于,包括:
接收单元:用于接收成功认证的终端设备网络配置信息,并接收上报的对服务器的网络攻击事件信息,所述网络攻击事件信息包括发起网络攻击的终端设备的IP地址、被攻击服务器的IP地址;
网络配置信息存储单元:用于存储所述接收单元接收的所述终端设备的网络配置信息;
网络攻击事件处理单元:用于根据所述接收单元接收的网络攻击事件信息中发起网络攻击的终端设备的IP地址,从网络配置信息存储单元中获取所述终端设备的网络配置信息,生成防御控制命令并发送给所述终端设备的安全认证客户端或者所接入的安全接入交换机,对所述终端设备进行防御控制。
10.如权利要求9所述的安全管理服务器,其特征在于,所述安全管理服务器还包括:
关键服务器IP地址存储单元,用于存储关键服务器的IP地址,根据网络攻击事件信息中被攻击服务器的IP地址,所述网络攻击事件处理单元确认在所述关键服务器IP地址存储单元中存储了被攻击服务器的IP地址后,生成所述防御控制命令。
11.如权利要求10所述的安全管理服务器,其特征在于,还包括:
防御策略存储单元:用于存储分别为各关键服务器对应配置的网络攻击防御策略,所述网络攻击事件处理单元根据被网络攻击的关键服务器对应配置的网络攻击防御策略,生成所述防御控制命令。
12.如权利要求9、10或11所述的安全管理服务器,其特征在于,还包括:
日志生成单元,用于根据所述网络配置信息存储单元存储的终端设备的网络配置信息和网络攻击事件处理单元对网络攻击的防御处理,生成网络攻击防御日志。
13.如权利要求9所述的安全管理服务器,其特征在于,所述网络攻击事件处理单元至少包括:
下线控制子单元,用于生成强制终端设备下线的第一防御控制命令,并通过所述安全接入交换机发送给发起网络攻击的终端设备的安全客户端,所述安全客户端根据所述防御控制命令控制终端设备下线;
警告控制子单元,用于生成警告终端设备的第二防御控制命令,并通过所述安全接入交换机发送给发起网络攻击的终端设备的安全客户端,所述安全客户端根据所述防御控制命令发出禁止网络攻击的警告;或者
访问权限的控制子单元,用于生成包含访问权限的控制列表的第三防御控制命令,并发送给所述安全接入交换机,所述安全接入交换机根据所述访问权限的控制列表对发起网络攻击的终端设备所接入的端口进行访问权限的控制。
14.一种网络安全防御方法,其特征在于,包括:
设置了安全认证客户端的终端设备通过安全接入交换机向认证计费服务器进行接入网络的认证,认证计费服务器向安全管理服务器上报成功认证的终端设备网络配置信息;
当发生网络攻击事件时,安全管理服务器获取网络攻击事件信息,所述网络攻击事件信息包括发起网络攻击的终端设备的IP地址、被攻击服务器的IP地址;
根据所述网络攻击事件信息中所述终端设备的IP地址获取所述终端设备的网络配置信息,根据所述网络配置信息将生成的防御控制命令发送给所述终端设备所接入的安全接入交换机,或者通过所述安全接入交换机发送给所述终端设备的安全认证客户端,对所述终端设备进行防御控制。
15.如权利要求14所述的方法,其特征在于,所述方法还包括:
根据所述被攻击服务器的IP地址确认被攻击服务器为预先指定的关键服务器后,生成所述防御控制命令。
16.如权利要求15所述的方法,其特征在于,根据预先为所述关键服务器配置的防御策略生成所述防御控制命令。
17.如权利要求14、15或16所述的方法,其特征在于,根据所述网络配置信息将生成的防御控制命令发送给所述终端设备所接入的安全接入交换机,或者通过所述安全接入交换机发送给所述终端设备的安全认证客户端,对所述终端设备进行防御控制具体包括:
根据所述网络配置信息将生成的第一防御控制命令发送给所述安全认证客户端,所述安全认证客户端根据所述第一防御控制命令强制所述终端设备下线;
根据所述网络配置信息将生成的第二防御控制命令发送给所述安全认证客户端,所述安全认证客户端根据所述第二防御控制命令向所述终端设备发出禁止网络攻击的警告;和/或
根据所述网络配置信息将生成的第三防御控制命令发送给所述安全接入交换机,所述安全接入交换机根据所述访问权限的控制列表对所述终端设备所接入的端口进行访问权限的控制。
18.如权利要求14所述的方法,其特征在于,还包括:
根据所述终端设备的网络配置信息和所述防御控制命令生成防御处理结果;
根据所述防御处理结果生成网络攻击防御日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101631256A CN101141305B (zh) | 2007-10-08 | 2007-10-08 | 网络安全防御系统、方法和安全管理服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101631256A CN101141305B (zh) | 2007-10-08 | 2007-10-08 | 网络安全防御系统、方法和安全管理服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101141305A true CN101141305A (zh) | 2008-03-12 |
| CN101141305B CN101141305B (zh) | 2010-11-24 |
Family
ID=39193069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101631256A Active CN101141305B (zh) | 2007-10-08 | 2007-10-08 | 网络安全防御系统、方法和安全管理服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101141305B (zh) |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101521598B (zh) * | 2009-03-30 | 2011-07-13 | 中兴通讯股份有限公司 | 对接入用户进行管理的snmp网管系统和方法 |
| CN102724166A (zh) * | 2011-03-29 | 2012-10-10 | 国基电子(上海)有限公司 | 防御攻击的网络连接系统及路由器 |
| CN103049702A (zh) * | 2013-01-05 | 2013-04-17 | 浪潮电子信息产业股份有限公司 | 一种基于服务器层的安全加固策略 |
| CN103200188A (zh) * | 2013-03-19 | 2013-07-10 | 汉柏科技有限公司 | 不同用户划分不同访问权限的方法 |
| CN103222226A (zh) * | 2011-11-04 | 2013-07-24 | 华为技术有限公司 | 用户设备下线的处理方法、装置和网络系统 |
| CN103401756A (zh) * | 2013-08-21 | 2013-11-20 | 北京华烽泰特科技有限公司 | 一种用于工业网络的安全防护系统 |
| CN103401843A (zh) * | 2013-07-11 | 2013-11-20 | 广州中长康达信息技术有限公司 | 云安全模拟检测方法及系统 |
| CN104363246A (zh) * | 2014-11-27 | 2015-02-18 | 成都远为天胜科技有限公司 | 安全网络平台 |
| CN103067385B (zh) * | 2012-12-27 | 2015-09-09 | 深圳市深信服电子科技有限公司 | 防御会话劫持攻击的方法和防火墙 |
| CN105187359A (zh) * | 2014-06-17 | 2015-12-23 | 阿里巴巴集团控股有限公司 | 检测攻击客户端的方法和装置 |
| CN105704514A (zh) * | 2014-11-27 | 2016-06-22 | 中国电信股份有限公司 | 用于实现安全支付的方法、机顶盒和系统 |
| CN105917344A (zh) * | 2014-01-23 | 2016-08-31 | 亚普知识产权控股有限公司 | 通信系统、信标装置、通信方法及电子设备 |
| CN106060041A (zh) * | 2016-05-30 | 2016-10-26 | 北京琵琶行科技有限公司 | 企业网络访问权限的控制方法及装置 |
| CN106534114A (zh) * | 2016-11-10 | 2017-03-22 | 北京红马传媒文化发展有限公司 | 基于大数据分析的防恶意攻击系统 |
| CN106936805A (zh) * | 2015-12-31 | 2017-07-07 | 亿阳安全技术有限公司 | 一种网络攻击的防御方法和系统 |
| CN107241350A (zh) * | 2017-07-13 | 2017-10-10 | 北京紫光恒越网络科技有限公司 | 网络安全防御方法、装置及电子设备 |
| CN107368582A (zh) * | 2017-07-21 | 2017-11-21 | 深信服科技股份有限公司 | 一种sql语句检测方法及系统 |
| CN108183921A (zh) * | 2015-03-18 | 2018-06-19 | 策安保安有限公司 | 经由边界网关进行信息安全性威胁中断的系统和方法 |
| CN104901796B (zh) * | 2015-06-02 | 2019-04-05 | 新华三技术有限公司 | 一种认证方法和设备 |
| CN110058555A (zh) * | 2018-07-09 | 2019-07-26 | 江苏恒宝智能系统技术有限公司 | 一种基于物联网的设备认证方法和装置 |
| CN110417709A (zh) * | 2018-04-27 | 2019-11-05 | 南宁富桂精密工业有限公司 | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 |
| CN110519251A (zh) * | 2019-08-20 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击行为检测方法及装置 |
| CN111083704A (zh) * | 2019-11-02 | 2020-04-28 | 上海六联智能科技有限公司 | 一种5g网络安全防御系统 |
| CN111740962A (zh) * | 2020-05-27 | 2020-10-02 | 上海重盟信息技术有限公司 | 智能化网络安全监测系统 |
| CN113347511A (zh) * | 2021-05-24 | 2021-09-03 | 广西电网有限责任公司 | 一种光传输网络中防御逐跳攻击的方法、装置和系统 |
| CN115987701A (zh) * | 2023-03-20 | 2023-04-18 | 深圳万物安全科技有限公司 | 接入设备的管理方法、装置、终端设备及介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1435977A (zh) * | 2002-02-01 | 2003-08-13 | 联想(北京)有限公司 | 防火墙入侵检测与响应的方法 |
| CN1568031A (zh) * | 2003-06-20 | 2005-01-19 | 华为技术有限公司 | 基于无线局域网的无线蜂窝数据系统及其实现方法 |
| CN101014047A (zh) * | 2007-02-06 | 2007-08-08 | 华为技术有限公司 | 一种定位多媒体子系统网络攻击来源的方法、装置及防攻击系统 |
-
2007
- 2007-10-08 CN CN2007101631256A patent/CN101141305B/zh active Active
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101521598B (zh) * | 2009-03-30 | 2011-07-13 | 中兴通讯股份有限公司 | 对接入用户进行管理的snmp网管系统和方法 |
| CN102724166A (zh) * | 2011-03-29 | 2012-10-10 | 国基电子(上海)有限公司 | 防御攻击的网络连接系统及路由器 |
| CN102724166B (zh) * | 2011-03-29 | 2015-02-04 | 国基电子(上海)有限公司 | 防御攻击的网络连接系统及方法 |
| CN103222226A (zh) * | 2011-11-04 | 2013-07-24 | 华为技术有限公司 | 用户设备下线的处理方法、装置和网络系统 |
| CN103067385B (zh) * | 2012-12-27 | 2015-09-09 | 深圳市深信服电子科技有限公司 | 防御会话劫持攻击的方法和防火墙 |
| CN103049702A (zh) * | 2013-01-05 | 2013-04-17 | 浪潮电子信息产业股份有限公司 | 一种基于服务器层的安全加固策略 |
| CN103200188B (zh) * | 2013-03-19 | 2017-04-19 | 汉柏科技有限公司 | 不同用户划分不同访问权限的方法 |
| CN103200188A (zh) * | 2013-03-19 | 2013-07-10 | 汉柏科技有限公司 | 不同用户划分不同访问权限的方法 |
| CN103401843A (zh) * | 2013-07-11 | 2013-11-20 | 广州中长康达信息技术有限公司 | 云安全模拟检测方法及系统 |
| CN103401756A (zh) * | 2013-08-21 | 2013-11-20 | 北京华烽泰特科技有限公司 | 一种用于工业网络的安全防护系统 |
| CN105917344A (zh) * | 2014-01-23 | 2016-08-31 | 亚普知识产权控股有限公司 | 通信系统、信标装置、通信方法及电子设备 |
| CN105187359B (zh) * | 2014-06-17 | 2018-06-08 | 阿里巴巴集团控股有限公司 | 检测攻击客户端的方法和装置 |
| CN105187359A (zh) * | 2014-06-17 | 2015-12-23 | 阿里巴巴集团控股有限公司 | 检测攻击客户端的方法和装置 |
| CN105704514A (zh) * | 2014-11-27 | 2016-06-22 | 中国电信股份有限公司 | 用于实现安全支付的方法、机顶盒和系统 |
| CN104363246A (zh) * | 2014-11-27 | 2015-02-18 | 成都远为天胜科技有限公司 | 安全网络平台 |
| CN108183921A (zh) * | 2015-03-18 | 2018-06-19 | 策安保安有限公司 | 经由边界网关进行信息安全性威胁中断的系统和方法 |
| CN104901796B (zh) * | 2015-06-02 | 2019-04-05 | 新华三技术有限公司 | 一种认证方法和设备 |
| CN106936805A (zh) * | 2015-12-31 | 2017-07-07 | 亿阳安全技术有限公司 | 一种网络攻击的防御方法和系统 |
| CN106936805B (zh) * | 2015-12-31 | 2019-06-04 | 亿阳安全技术有限公司 | 一种网络攻击的防御方法和系统 |
| CN106060041A (zh) * | 2016-05-30 | 2016-10-26 | 北京琵琶行科技有限公司 | 企业网络访问权限的控制方法及装置 |
| CN106534114A (zh) * | 2016-11-10 | 2017-03-22 | 北京红马传媒文化发展有限公司 | 基于大数据分析的防恶意攻击系统 |
| CN107241350A (zh) * | 2017-07-13 | 2017-10-10 | 北京紫光恒越网络科技有限公司 | 网络安全防御方法、装置及电子设备 |
| CN107368582A (zh) * | 2017-07-21 | 2017-11-21 | 深信服科技股份有限公司 | 一种sql语句检测方法及系统 |
| CN110417709A (zh) * | 2018-04-27 | 2019-11-05 | 南宁富桂精密工业有限公司 | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 |
| CN110417709B (zh) * | 2018-04-27 | 2022-01-21 | 南宁富桂精密工业有限公司 | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 |
| CN110058555A (zh) * | 2018-07-09 | 2019-07-26 | 江苏恒宝智能系统技术有限公司 | 一种基于物联网的设备认证方法和装置 |
| CN110058555B (zh) * | 2018-07-09 | 2021-08-31 | 江苏恒宝智能系统技术有限公司 | 一种基于物联网的设备认证方法和装置 |
| CN110519251A (zh) * | 2019-08-20 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击行为检测方法及装置 |
| CN111083704A (zh) * | 2019-11-02 | 2020-04-28 | 上海六联智能科技有限公司 | 一种5g网络安全防御系统 |
| CN111740962A (zh) * | 2020-05-27 | 2020-10-02 | 上海重盟信息技术有限公司 | 智能化网络安全监测系统 |
| CN113347511A (zh) * | 2021-05-24 | 2021-09-03 | 广西电网有限责任公司 | 一种光传输网络中防御逐跳攻击的方法、装置和系统 |
| CN113347511B (zh) * | 2021-05-24 | 2023-05-12 | 广西电网有限责任公司 | 一种光传输网络中防御逐跳攻击的方法、装置和系统 |
| CN115987701A (zh) * | 2023-03-20 | 2023-04-18 | 深圳万物安全科技有限公司 | 接入设备的管理方法、装置、终端设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101141305B (zh) | 2010-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101141305B (zh) | 网络安全防御系统、方法和安全管理服务器 | |
| US6865673B1 (en) | Method for secure installation of device in packet based communication network | |
| CN101094056B (zh) | 无线工业控制网络安全系统及安全策略实现方法 | |
| CN105656903A (zh) | 一种Hive平台的用户安全管理系统及应用 | |
| CN103701792B (zh) | 可信授权方法、系统、可信安全管理中心和服务器 | |
| CN103441984A (zh) | 安全无线网络中的动态认证 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| CN103455763A (zh) | 一种保护用户个人隐私的上网日志记录系统及方法 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN106792684B (zh) | 一种多重防护的无线网络安全防护系统及防护方法 | |
| CN101599967A (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| CN109302397A (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
| CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
| Kovtsur et al. | Investigation of attacks and methods of protection of wireless networks during authorization using the IEEE 802.1 x protocol | |
| CN101707604B (zh) | 一种防恶意攻击的方法、系统及装置 | |
| CN102546522A (zh) | 一种内网安全系统及其实现方法 | |
| Murthy et al. | Firewalls for security in wireless networks | |
| CN201846357U (zh) | 非现场行业安全网络构架 | |
| Li et al. | Research on sensor-gateway-terminal security mechanism of smart home based on IOT | |
| CN113347004A (zh) | 一种电力行业加密方法 | |
| CN102412962B (zh) | 组安全连接联合密钥cak的分发方法及装置 | |
| Al-Ayed et al. | An Efficient Practice of Privacy Implementation: Kerberos and Markov Chain to Secure File Transfer Sessions. | |
| Casoni et al. | Security issues in emergency networks | |
| Savukynas | Internet of Things information system security for smart devices identification and authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 350015 M9511 Industrial Park, fast road, Mawei District, Fujian, Fuzhou Patentee after: RUIJIE NETWORKS Co.,Ltd. Address before: 350015 M9511 Industrial Park, fast road, Mawei District, Fujian, Fuzhou Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |